Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 29 avril 2026 N° CERTFR-2026-AVI-0509 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Xen Gestion du document Référence CERTFR-2026-AVI-0509 Titre Multiples vulnérabilités dans Xen Date de la première version 29 avril 2026 Date de la dernière version 29 avril 2026 Source(s) Bulletin de sécurité Xen xsa/advisory-483 du 28 avril 2026 Bulletin de sécurité Xen xsa/advisory-484 du 28 avril 2026 Bulletin de sécurité Xen xsa/advisory-485 du 28 avril 2026 Bulletin de sécurité Xen xsa/advisory-486 du 28 avril 2026 Bulletin de sécurité Xen xsa/advisory-487 du 28 avril 2026 Bulletin de sécurité Xen xsa/advisory-489 du 28 avril 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Élévation de privilèges Systèmes affectés Xen avec un noyau linux postérieur à 4.12 sans le correctif de sécurité xsa485-linux.patch Xen sur systèmes x86 ou Arm PVH ou HVM avec un noyau linux postérieur à 3.8 sans le correctif de sécurité xsa487-linux.patch Xen toutes versions incluant le correctif de sécurité XSA-419 sans le correctif xsa483-4.17.patch pour Xen 4.17.x Xen toutes versions incluant le correctif de sécurité XSA-419 sans le correctif xsa483-xapi.patch pour Xen XAPI oxenstored Xen toutes versions incluant le correctif de sécurité XSA-419 sans le correctif xsa483.patch pour Xen 4.18.x Xen toutes versions utilisant XAPI sans les derniers correctifs de sécurité Xen versions 4.17.x et 4.18.x sans le correctif de sécurité xsa486-4.18.patch Xen versions 4.19.x sans le correctif de sécurité xsa486.patch Xen versions postérieures ou égales à 4.2 sans le correctif de sécurité xsa484-4.17.patch applicable pour Xen 4.17.x Xen versions postérieures ou égales à 4.2 sans le correctif de sécurité xsa484.patch applicable pour Xen 4.18.x Résumé De multiples vulnérabilités ont été découvertes dans Xen. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Xen xsa/advisory-483 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-483.html Bulletin de sécurité Xen xsa/advisory-484 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-484.html Bulletin de sécurité Xen xsa/advisory-485 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-485.html Bulletin de sécurité Xen xsa/advisory-486 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-486.html Bulletin de sécurité Xen xsa/advisory-487 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-487.html Bulletin de sécurité Xen xsa/advisory-489 du 28 avril 2026 https://xenbits.xen.org/xsa/advisory-489.html Référence CVE CVE-2026-23556 https://www.cve.org/CVERecord?id=CVE-2026-23556 Référence CVE CVE-2026-23557 https://www.cve.org/CVERecord?id=CVE-2026-23557 Référence CVE CVE-2026-23558 https://www.cve.org/CVERecord?id=CVE-2026-23558 Référence CVE CVE-2026-23559 https://www.cve.org/CVERecord?id=CVE-2026-23559 Référence CVE CVE-2026-23560 https://www.cve.org/CVERecord?id=CVE-2026-23560 Référence CVE CVE-2026-23561 https://www.cve.org/CVERecord?id=CVE-2026-23561 Référence CVE CVE-2026-23562 https://www.cve.org/CVERecord?id=CVE-2026-23562 Référence CVE CVE-2026-31786 https://www.cve.org/CVERecord?id=CVE-2026-31786 Référence CVE CVE-2026-31787 https://www.cve.org/CVERecord?id=CVE-2026-31787 Référence CVE CVE-2026-42486 https://www.cve.org/CVERecord?id=CVE-2026-42486 Gestion détaillée du document le 29 avril 2026 Version initiale